Las agencias gubernamentales indias han sido blanco de dos campañas realizadas por actores de amenazas que operan en Pakistán utilizando canales comerciales previamente indocumentados.
Estas campañas recibieron el nombre en código de Gopher Strike y Sheet Attack de Zscaler ThreatLabz, identificadas en septiembre de 2025.
«Si bien estas campañas comparten algunas similitudes con el grupo APT36 de Amenaza Persistente Avanzada (APT) vinculado a Pakistán, evaluamos con confianza media que la actividad identificada en este análisis puede originarse en un nuevo subgrupo u otro grupo vinculado a Pakistán que opera en paralelo», dijeron los investigadores Sudeep Singh y Ying Hong Chan.
El nombre Sheet Attack proviene del uso de servicios legítimos como Google Sheets, Firebase y correo electrónico para comando y control (C2). Mientras tanto, a Gopher Strike se le atribuye el uso de correos electrónicos de phishing como punto de partida para entregar documentos PDF que contienen imágenes borrosas superpuestas con ventanas emergentes aparentemente inofensivas que indican a los destinatarios que descarguen una actualización para Adobe Acrobat Reader DC.
El objetivo principal de esta imagen es darle al usuario la impresión de que necesita instalar una actualización para acceder al contenido del documento. Al hacer clic en el botón (Descargar e instalar) en el cuadro de diálogo de actualización falsa solo se activará la descarga del archivo de imagen ISO si la solicitud se origina en una dirección IP ubicada en la India y la cadena del agente de usuario corresponde a Windows.
«Estas comprobaciones del lado del servidor evitan que las herramientas automatizadas de análisis de URL recuperen archivos ISO y garantizan que los archivos maliciosos se entreguen sólo a los objetivos previstos», dijo Zscaler.
La carga maliciosa incrustada en la imagen ISO es un descargador basado en Golang llamado GOGITTER que crea archivos Visual Basic Script (VBScript) si no existen en las siguientes ubicaciones: «C:\Users\Public\Downloads», «C:\Users\Public\Pictures» y «%APPDATA%». Este script está diseñado para recuperar comandos VBScript cada 30 segundos desde dos servidores C2 preconfigurados.
GOGITTER también establece la persistencia mediante una tarea programada configurada para ejecutar el archivo VBScript mencionado anteriormente cada 50 minutos. Además, verifique que haya otro archivo llamado «adobe_update.zip» dentro de las mismas tres carpetas. Si el archivo ZIP no existe, extraiga el archivo del repositorio privado de GitHub (‘github(.)com/jaishankai/sockv6’). La cuenta de GitHub se creó el 7 de junio de 2025.
Tras una descarga exitosa, la cadena de ataque podría enviar una solicitud HTTP GET al dominio ‘adobe-acrobat(.)in’, informando al actor de la amenaza que el punto final está infectado. GOGITTER extrae «edgehost.exe» del archivo ZIP y lo ejecuta. GITSHELLPAD, una puerta trasera liviana basada en Golang, aprovecha los repositorios privados de GitHub para C2 controlados por actores de amenazas.
Específicamente, sondea el servidor C2 cada 15 segundos con una solicitud GET para acceder al contenido de un archivo llamado «command.txt». Admite 6 comandos diferentes –
cd .., cambie el directorio de trabajo al directorio principal. cd, cambie el directorio a la ruta especificada. ejecutar, ejecuta un comando en segundo plano sin capturar la salida. Cargar, carga el archivo local especificado por la ruta a un repositorio de GitHub. Descargar, descarga el archivo a la ruta especificada. De forma predeterminada, cmd /c se usa para ejecutar el comando y capturar el resultado.
Los resultados de la ejecución del comando se guardan en un archivo llamado «result.txt» y se cargan en su cuenta de GitHub mediante una solicitud HTTP PUT. Si el comando se ejecuta correctamente, «command.txt» se eliminará de su repositorio de GitHub.
Zscaler dijo que también observó que el atacante usó comandos cURL para descargar archivos RAR después de obtener acceso a la máquina de la víctima. El archivo contiene una utilidad que recopila información del sistema y descarga GOSHELL, un cargador personalizado basado en Golang que se utiliza para entregar Cobalt Strike Beacons después de múltiples rondas de decodificación. Limpie las herramientas de la máquina después de su uso.
«El tamaño de GOSHELL se infló artificialmente a aproximadamente 1 gigabyte al agregar bytes basura a una superposición de ejecutable portátil (PE), que probablemente evade la detección del software antivirus», dijo la firma de ciberseguridad. «GOSHELL sólo se ejecuta en nombres de host específicos comparando el nombre de host de la víctima con una lista codificada».
Source link
